Biblioteca Digital da Cmara dos Deputados

Centro de Documentao e Informao

Coordenao de Biblioteca

http://bd.camara.gov.br

"Dissemina os documentos digitais de interesse da atividade legislativa e da sociedade.

UNIVERSIDADE CANDIDO MENDESPS-GRADUAO LATO SENSU

PROJETO A VEZ DO MESTRE

GESTO DE RISCOSAPLICADA A SISTEMAS DE INFORMAO:

SEGURANA ESTRATGICA DA INFORMAO

Por: Eduardo Antnio Mello Freitas

OrientadorProf. Koffi Djima Amouzou

Braslia2009

2UNIVERSIDADE CANDIDO MENDESPS-GRADUAO LATO SENSU

PROJETO A VEZ DO MESTRE

GESTO DE RISCOSAPLICADA A SISTEMAS DE INFORMAO:

SEGURANA ESTRATGICA DA INFORMAO

Apresentao de monografia UniversidadeCndido Mendes como condio prvia para aconcluso do Curso de Ps-Graduao Lato Sensuem Gesto Estratgica e QualidadePor: . Eduardo Antnio Mello Freitas

3AGRADECIMENTOS

Agradeo a Deus e a minha queridaesposa que me deram determinaopara continuar esta empreitada.

4DEDICATRIA

Dedico este trabalho a minha esposa efilhos que me apoiaram.

5RESUMO

O presente estudo aborda um tema sensvel a qualquer empresainserida em um mercado competitivo: a Segurana da Informao. Nestecontexto, a segurana da informao possui posio estratgica tanto para agarantia do presente, naquilo que a empresa j conquistou, como para ofuturo, naquilo que ela procura conquistar.

Os sistemas de informao so ferramentas importantes na gestoestratgica do conhecimento das empresas. Eles normalmente do maioragilidade, versatilidade e disponibilidade da informao, contudo eles tambmdevem garantir que apenas as pessoas autorizadas tero o acesso informao e saber quem o responsvel pela informao.

Porm segurana implica em custos de manuteno da informao.Sistemas que no levam em conta a segurana so mais simples e mais fceisde manter, porm quanto custa a perda ou a falta de confiabilidade de suasinformaes? Podemos dispor de sistemas mais flexveis, mas sem abrir moda auditoria destes. Atravs de modelos como o COBIT e de bibliotecas demelhores prticas como o ITIL, buscaremos identificar o grau de maturidade daempresa e o valor da informao na estrutura gerencial e no poder decisrionos nveis operacional, ttico e estratgico.

Finalmente, avaliado o papel estratgico da informao, poderemosmensurar melhor os riscos que estamos dispostos a correr e o quantodevemos investir em prol da segurana e continuidade de negcios daempresa. a busca por uma posio de maior conforto para a empresa semdeixar de lado a qualidade da informao.

6METODOLOGIA

Este estudo foi elaborado com o apoio de pesquisa bibliogrfica emlivros, revistas, artigos e multimdia, tanto de Tecnologia da Informao comode Administrao.

Alm dos os recursos apresentados no curso e do material bibliogrficosugerido, fizemos uso de bibliotecas e padres de melhores prticas que nose limitam gesto de Tecnologia da informao, visto que a segurana dainformao envolve, alm da tecnologia, tambm processos e pessoas. Dasbibliotecas ou padres de melhores prticas destacamos:

ITIL - biblioteca de infraestrutura de Tecnologia da Informao (TI) PMBOK - conjunto de conhecimentos em gerenciamento de

projetos COBIT gesto de Tecnologia da Informao (TI)

A ABNT traduziu os documentos ISO 27001 e ISO 27002 e osdenominou como NBR ISO 27001 e NBR ISO 27002, respectivamente.

Foram obtidas informaes a partir de empresas de consultoria e depesquisas como o Gartner Group e a Mdulo. Algumas fontes de consultaforam recomendaes advindas da participao de congressos, tais como oCongresso Nacional de Auditoria de Sistemas e o congresso de Segurana daInformao e Governana.

7SUMRIO

INTRODUO 8CAPTULO I - QUANTO VALE A INFORMAO 10CAPTULO II O CONTROLE SOBRE A INFORMAO 21CAPTULO III AMEAAS E VULNERABILIDADES 32CAPTULO IV INFRAESTRUTURA DE SEGURANA DA INFORMAO 42CAPTULO V GESTO DE RISCOS 49CONCLUSO 61BIBLIOGRAFIA 62

NDICE 69FOLHA DE AVALIAO 71

8INTRODUO

Inicialmente o conhecimento ficava restrito a pessoas ou grupo depessoas. Em muitos casos o conhecimento ficou perdido na histria.Atualmente, temos de filtrar o que relevante, til e realmente necessrionesta enxurrada de informaes a que somos submetidos. Com tecnologias esistemas cada vez mais versteis, nossos dados, informaes e conhecimentoso mediados pela Tecnologia da Informao. Se por um lado a grande gamade recursos e a flexibilidade que a tecnologia nos fornece um atrativo, poroutro ficamos cada vez mais dependentes dela.

Igualmente as organizaes esto cada vez mais dependentes daTecnologia da Informao. A informao um ativo no tangvel daorganizao e assim como os ativos tangveis e financeiros, a organizaodeve dedicar sua ateno segurana deste ativo que a informao quepossuem. Falhas e desastres em sistemas de informao podem levar agrandes prejuzos e at falncia de uma empresa.

Cartes de crdito, Internet e globalizao potencializaram as relaescomerciais entre empresas por meio eletrnico, de forma que a segurana no apenas uma preocupao da empresa, mas tambm do cliente ouconsumidor. De forma que a prpria segurana pode agregar valor ao negcioe a segurana da informao passou a ser parte da estratgia do negcio ouservio, podendo se traduzir em lucro, aumento de competitividade e fator dereduo de perdas. A segurana da informao no pode mais se aterapenas ao nvel operacional, mas deve passar para os nveis estratgicos etticos.

A informao, no sentido geral, insumo e produto, material deconsumo e produto, isto porque ela no deve nunca estar desassociada dotodo da atividade do negocio. Esta participao se faz refletir nos sistemas de

9informao e devem ser devidamente includos no mtodo de custeio daorganizao. A preocupao com a anlise de riscos se fez observar noresultado das pesquisa por segmento, onde as empresas foram solicitadas aescolher as trs principais medidas em Segurana da Informao de seuplanejamento anual (MDULO, 2006):

Comrcio: Poltica de segurana; Anlise de riscos no ambiente de TI;Capacitao da equipe tcnica.

Financeiro: Adequao s Normas, Regulamentaes e Legislao;Anlise de riscos no ambiente de TI; Certificado digital.

Governo: Campanha de sensibilizao e responsabilizao defuncionrios; Anlise de riscos no ambiente de TI; Adequao a Normas,Regulamentaes e Legislao.

Indstria: Anlise de vulnerabilidades; Anlise de riscos no ambiente de TI;Campanha de sensibilizao e responsabilizao de funcionrios.

Servios: Anlise de riscos no ambiente de TI; Anlise de vulnerabilidades;Poltica de segurana.

Telecomunicaes: Adequao s Normas, Regulamentaes eLegislao; Anlise de riscos no ambiente de TI; Plano de continuidade.

A Tecnologia da Informao deve efetivamente contribuir paraminimizar as perdas e potencializar os investimentos. Por outro lado, a Gestode Riscos e seu planejamento deixou de ser apenas tcnica e requer dosdemais gestores o compromisso para com a informao. no trabalho deequipe, com uma cultura de controle de riscos em todos os nveis daorganizao, que sero encontradas as melhores alternativas para se manter asegurana da informao de forma compatvel com seu valor dentro daorganizao.

10

CAPTULO I - QUANTO VALE A INFORMAO

"Se voc pensa que seguranacusta caro, experimente umacidente."(Stelios Haji-Ioannou)

Quando pensamos em segurana juntamente nos vem a idia de quealgo de valor deve ser guardado ou assegurado. H algo de valor que no sequer perder e vale a pena investir a fim de se obter esta garantia. Tal qual umseguro de automvel, podemos selecionar que servios estamos dispostos apagar por ele e quanto, assim como podem existir servios que se colocamcomo obrigatrios no seguro.

Podemos definir Segurana da Informao como umarea do conhecimento dedicada proteo de ativos dainformao contra acessos no autorizados, alteraesindevidas ou sua indisponibilidade SMOLA (2003, p.43)

Trataremos do valor de forma geral, envolvendo a sensibilidade dainformao e sua criticidade para as operaes do negcio.

1.1. O valor da informao e o tempo

O valor de uma informao ou conhecimento muda com o tempo epossui uma validade. Um manual de um software, por exemplo, pode ser degrande valia e ser bastante utilizado, contudo, em se tornando obsoleto, elepraticamente passa a no ter valor algum. O referido manual pode ter algumvalor histrico, mas com certeza o custo operacional e o custo dos recursosdespendidos para o seu armazenamento devem ser compensadores. Emalguns casos, a definio do tempo em que a informao deve ser mantida sed por conta de alguma norma ou dispositivo legal.

11

A tabela a seguir apresenta alguns prazos em que h aobrigatoriedade de guarda dos documentos por parte da empresa emconformidade com a Lei n10.406/2002, o Novo Cdigo Civil Brasileiro:

DOCUMENTO PRAZOContratos de seguro em geral 1 anoComprovantes de pagamento de aluguis 3 anosDvidas lquidas oriundas da contratao por meio deinstrumento pblico ou particular

5 anos

Documentos comprobatrios do recolhimento detributos e tarifas

5 anos

Comprovante da prestao de servios deprofissionais liberais

5 anos

Documentao trabalhista relacionada ao vnculoempregatcio

5 anos

Documentao trabalhista referente aos encargos daprevidncia e FGTS

30 anos seguradas35 anos -segurados

Tabela I Prazos de Guarda de Documentos - Lei n10.406/2002

Pode-se alegar que se tratam de prazos para a guarda dosdocumentos originais em papel, contudo se faz necessrio observar que, deacordo com a Medida Provisria n 2200/2001, um documento digital oueletrnico, pblico ou particular, deve ser considerado para todos os finslegais. Assim sendo, documentos assinados eletronicamente atravs deCertificados Digitais emitidos pelas Autoridades Certificadoras no mbito daICP-Brasil (Infraestrutura de Chaves Pblicas Brasileira) possuem a mesmaeficcia de uma assinatura de prprio punho. A confirmao da autenticidadeassinatura digital no documento feita pela da informao. O Decreto Federaln 4.553/2002 define autenticidade como: asseverao de que o dado ouinformao so verdadeiros e fidedignos tanto na origem quanto no destino.

A falta de planejamento do ciclo de vida da informao ir se refletirem erros na estimativa dos recursos necessrios para a segurana e no

12

armazenamento da informao, o que poder redundar em desgaste da equipee prejuzos tanto na aquisio dos equipamentos quanto na manuteno dainformao. Esta estratgia refora ainda mais o ciclo de melhoria continua,tambm conhecido como ciclo de Deming ou ciclo PDCA (Plan, Do, Check,Action).

interessante observar que, a depender da arquitetura do sistema deinformao o gerenciamento do armazenamento dos dados, conforme a suautilizao, pode vir a ser transparente para os usurios do sistema. Nestescasos, por exemplo, dados com pouca ou nenhuma atualizao, ou ainda comutilizao mnima, podem ser mantidos em meios preferencialmente poucovolteis, seguros, porm menos dispendiosos. A recuperao da informaopode ser um pouco mais lenta, porm a periodicidade do acesso justifica amenor desempenho e os menores gastos com manuteno operacional, desdeque sua criticidade seja baixa. H de se considerar, portanto, em termos detempo, no apenas o custo do processamento da informao, mas tambm ocusto de recuperao da mesma e seu impacto no negcio.

Assim, tanto o tempo passado quanto ao futuro podem influenciar ainformao. O tempo passado o tempo a que se refere a informao e o seuvalor no presente. O tempo futuro o tempo entre a necessidade dainformao e a sua obteno. Se, por exemplo, se um sistema de informaoque apresenta cotaes atualizadas de produtos no mercado fica for a do ar, aindisponibilidade das informaes pode acarretar prejuzos enormes empresa e perda de clientes. Ao tempo passado se costuma designar devalidade da informao; ao futuro, propriamente o valor da informao.

O planejamento da capacidade de armazenamento e gerenciamentodo valor da informao no decorrer do tempo deve levar em contar que, com opassar do tempo, maior qualidade exigida da informao e menores oscustos de armazenamento. Por outro lado, um volume cada vez maior deinformao e a degradao no acesso por conta da vida til dos servidores

13

exigem um acompanhamento constante da performance e da garantia daqualidade dos recursos de suporte (CCTA, 2000) .

1.2. O valor da informao e o pblico-alvo

Diz um ditado que o conhecimento vem da informao, mas que asabedoria o seu correto uso. Nem toda a informao possui o mesmo valore este valor vai depender de se saber como fazer uso da informao.

O valor da informao tambm pode variar segundo o seu pblico-alvodentro e fora da organizao. Dentro da organizao podemos considerar ostrs diferentes nveis de tomada de deciso, quais sejam: operacional, ttico eestratgico. Normalmente os dados pontuais do nvel operacional seroagrupados, filtrados e analisados como informao do nvel ttico e que iroevoluir para o conhecimento e aporte tomada de decises no nvelestratgico (RUD, 2001).

Contudo, a nfase em processos horizontais com mais decises sendodelegadas queles mais voltados ao nvel operacional e ttico da organizaolevou a uma necessidade maior de comprometimento de todas as partes daorganizao. Seja como for, toda a cadeia de transformao por que passa ainformao, de uma forma ou de outra, responsvel por ela. Somosresponsveis tanto pela informao como pelo uso que fazemos dela. Cadanvel decisrio tem a sua percepo de valor para a informao. Contudo, ainformao como qualquer outro ativo da organizao deve ter umresponsvel, um proprietrio, conforme expresso na NBR ISO/IEC17799:2005, no captulo sobre Gesto de Ativos. Este proprietrio,responsvel pela informao, quem ir definir a classificao da informao,quais os controles necessrios e quais recursos esto associados ela.

14

Uma informao pode ter tal valor estratgico ou papel crtico em umaorganizao que venha a ser classificada de forma tal que apenas oPresidente, e aqueles que lhe so prximos na organizao, podem tomarcincia dela. a classificao por hierarquia ou autoridade (VACCA, 2005).

Por tudo isto primordial que as polticas de controle de acesso sejambem definidas e contem com o aval e apoio da alta direo. Conflitos entre apoltica de segurana e as operaes de manuteno contnua e emergnciaque zelem pela continuidade do negcio no devem ser ignorados. Aspolticas de segurana no podem ser incompatveis com a garantia dadisponibilizao do servio.

1.3. Evoluo do valor da informao

O Gartner Group, equipe especializada em pesquisas de mercado econsultoria envolvendo a rea de Tecnologia da Informao, atribuiu o termoBusiness Intelligence (Inteligncia Empresarial ou de Negcios) para designarmetodologias e ferramentas de gesto que se fazem atravs de software como objetivo de estruturar a cadeia de transformao da informao e suaaplicao nas aes decisrias da empresa.

Relaes entre dados outrora desconhecidas, ao surgirem, mostramnovas contribuies para o conhecimento. Este conhecimento pode contribuirpara diferentes reas dentro da organizao atravs da aplicao destasferramentas de gesto. Dentre estas contribuies temos a anlise dos nveisde risco, que pode incluir diferentes perspectivas, tais como o risco financeirona relao com um novo cliente ou na aquisio de uma carteira de aes,bem como o comportamento inesperado de um sistema. Este ltimo, interesseda Gesto de Riscos.

15

Atravs de mtodos estatsticos, tais como regresso linear e aregresso logstica, ou ainda de mtodos no-estatsticos ou mistos, tais comorvores de classificao, algoritmos genticos, redes neurais e rvores dedeciso (RUD, 2001), de forma a identificar padres de comportamento,correlacionar os dados, detectar seqncias e tendncias no decorrer dotempo. Uma destas tcnicas conhecida como Data Mining (prospeco dedados), extraindo-se comportamentos e conhecimentos do negcio a partir degrandes bases de dados, os quais, de outra forma, provavelmentepermaneceriam desconhecidos.

Estas novas relaes e comportamentos iro demonstrar a realnecessidade da informao e auxiliar na classificao da informao, tanto dovalor como dos riscos que envolvem a informao. O valor ser maximizadoquando a administrao for capaz de definir estratgias e objetivos paraalcanar a melhor relao entre o seu crescimento, o sucesso qualitativo e aidentificao dos riscos relacionados (PRICEWATERHOUSECOOPERS,2004).

1.4. Segurana da informao agregando valor informao

H uma expresso que diz: Crie uma ratoeira melhor e o mundoachar o caminho at sua porta. Podemos observar que a Tecnologia daInformao pode, no apenas dar suporte ao processo de transformao dainformao, mas pode tambm lhe agregar valor.

A biblioteca consolidada de melhores prticas ITIL (InformationTechnology Infrastructure Library), em sua segunda verso publicada, teve oseu foco no alinhamento entre a Tecnologia da Informao e os negcios. Jem sua terceira verso, a biblioteca ITIL passou a ter o foco na integrao deambos, visto que a integrao da gesto da Tecnologia da Informao e do

16

negcio da empresa se reflete em mudana nos conceitos das melhoresprticas aplicadas Tecnologia da Informao.

Um dos mais novos conceitos o de Ciclo de Vida de um servio, quepassa desde a sua necessidade, a estratgia e projeto do servio, at aextino do servio. O investimento e a manuteno da segurana dainformao se justifica a partir da identificao de sua real da necessidadeestratgica. Os sistemas de informao devem contribuir para que ainformao traga segurana ao prprio negcio.

No modelo tradicional da publicao da ITIL v.2, representado nafigura a seguir, o Gerenciamento da Segurana, fica posicionado entre oGerenciamento do Servio, o Gerenciamento da Infraestrutura de Tecnologiada Informao e Comunicao e o Gerenciamento da Aplicao (BON, 2006).

Figura 1 Modelo ITIL verso 2Fonte: Citao de Jan Van Bon ao modelo da biblioteca ITIL, 2006

17

Em termos estratgicos, a segurana da informao pode agregarvalor ao dar maior confiabilidade ao prprio processo de transformao. Aintegrao entre o negcio e a tecnologia empregada pode imprimir maiormaturidade e solidez s transaes com o cliente. A confiabilidade nastransaes vai se traduzir na idia de maior confiabilidade nos negcios.

Faz-se necessrio que os executivos de negcio (Chief ExecutiveOfficers - CEO) e os de Tecnologia da Informao (Chief Information Officers -CIO) tenham uma viso alinhada e integrada para a obteno dos resultadosesperados. Para que haja este alinhamento, o foco da entrega de servios,incluindo-se a segurana da informao, no deve perder a perspectiva donegcio. O sucesso desta conscientizao leva maximizao dos benefciospara o negcio (CARTLIDGE, 2004).

Novas atribuies profissionais surgiram por conta do enfoque emsegurana e na preciso da informao e seu impacto nos negcios, tais comoo CISO Chief Information Security Officer e o CSO Chief InformationOfficer.

Para se ter sucesso na integrao e alinhamento entre o negcio e aTecnologia da Informao, deve haver integrao e alinhamento a partir doplanejamento estratgico e suas metas (CARTLIDGE, 2007, 4). Como nem osnegcios, nem a tecnologia da informao so estticos, um processo demelhoria contnua com gesto integrada das mudanas dos negcios de TI aforma de se garantir a durabilidade do alinhamento e da integrao.

A informtica sempre foi vista como ferramenta de melhoria. Porm,quando se fala em Segurana da Informao, alguns aspectos so vistos deforma negativa no processo, tais como aumento de custos, perda de liberdade,aumento de complexidade, perda de desempenho, etc. primordial que hajamedio e controle da eficincia e da eficcia dos servios de tecnologia dainformao. Tambm no se pode deixar de lado a otimizao dos custos na

18

obteno do resultado final. Contudo no se pode negar que de fato aproteo dos ativos informacionais custa dinheiro e que a segurananaturalmente traz restries. Por isso a importncia de se classificar ainformao, a fim de que no se adote um nico nvel de segurana no seupatamar mais alto (BEAL, 2008, 61).

Os gestores de TI devem ser capazes de demonstrar o valor agregadocom a segurana. De fato, nem sempre possvel demonstrar o retorno doinvestimento em segurana da informao em termos de lucro, mas atravs daanlise da classificao da informao e da gesto de riscos ser possveldemonstrar o quanto se deixou de perder caso algum desastre ocorresse, oualguma informao confidencial fosse revelada ou mesmo um sistema crticoficasse fora do ar. O custo da segurana da informao nunca deve ser maiordo que o valor da prpria informao!

A segurana da informao deve, portanto, integrar a estratgia donegcio ou servio, devendo se traduzir em lucro, ganho de competitividade ouconfiabilidade no mercado. Diante da falta de gesto de riscos em TI, deve-serefletir na afirmao de Bob L. Martin, CEO1 da Diviso Internacional do Wall-Mart, em artigo da Harward Renew de setembro de 1995: os riscos daTecnologia da Informao esto cada vez mais entrelaados com os riscosempresariais.

1.5. O custeio da Segurana de Informao

A anlise de custo em Tecnologia da Informao s vezes no umatarefa simples, ainda mais quando se trata da segurana da informao. Nemtodos os custos so diretos. Um sistema mais seguro, por exemplo, podeexigir mais passos para o seu acesso, cadastramento, treinamento e

1 Chief Executive Officer Gerente Executivo

19

certificaes. Destacamos dois mtodos de custeio que tm o seu uso emservios de Tecnologia da Informao: ABC e TCO.

O mtodo de custeio ABC (Activity Based Costing), desenvolvido pelosprofessores Robert Kaplan e Robin Cooper, um exemplo de mtodobastante til quando se trata de custeio de servio, levando em conta os custosindiretos de uma atividade. Nele as atividades so as interligaes entre osinsumos e os produtos (NUNES, 1998, p.14). Identificada a atividade, deve-sequantificar a relao entre as atividades e as informaes que servem deinsumo. Apesar de que em alguns casos a prpria informao o produto. Oideal que a os responsveis e usurios da informao, bem como aintensidade de seu uso sejam quantificados.

A que atividades interessa a entrada de dados, seu armazenamento ea garantia de sua segurana? Pode-se quantificar o custo adicional exigidopara prover a segurana da informao, mais o consumo vigente dos recursosde infraestrutura, para certa atividade, seja atravs de valor determinado ou devalor estimado por perodo. J na quantificao da relao entre a atividade eo produto final, sero necessrios atributos para a atividade, tais como o tempode processamento e o volume de transaes. De qualquer forma, aidentificao dos objetos de custeio e os responsveis pelas atividades irproporcionar o detalhamento e o rateio dos custos, o que pode ser aplicado segurana da informao e dos servios de TI em geral.

A anlise de custos algumas vezes no fcil, porm quanto maisdetalhada puder ser a classificao dos custos, maior ser a identificao dasrelaes de valor entre a informao e os agentes do negcio.

Outro modelo, desenvolvido por Bill Kirwin, do Gartner Group, o TotalCost of Ownership (Custo Total de Propriedade), que tambm leva em contaos custos diretos e indiretos por perodos de tempo O foco no est no rateio,mas no custo total da aquisio de um produto ou servio, incluindo hardware,

20

software, treinamento, taxas, imposto, adaptao dos sistemas legados, etc. Oseu aspecto mais interessante o de permitir a avaliao do investimento totalde uma soluo comparando-o com outras solues tambm pelo seu custototal. Para isto importante munir-se de benchmarks2 fornecidos porempresas de pesquisa e consultoria na busca da soluo com melhordesempenho adequado situao em estudo comparativamente com soluesencontradas em outras empresas de reconhecimento no mercado.

2 O benchmarking se constitui em identificar, otimizar e utilizar o que deu certo em empresas similares.

21

CAPTULO II O CONTROLE SOBRE A INFORMAO

O sucesso de qualquer poltica medido pelas catstrofes que noocorrem. (Parkinson)

Existe um termo que traduzido por rastreabilidade que definidopela International Organization for Standardization em seu padro ISO8402/1994 como:

a habilidade de descrever a histria, aplicao, processosou eventos e localizao, de um produto, a umadeterminada organizao, por meios de registros eidentificao

Este conceito se aplica muito bem informao enquanto produto queadvm da coleta e armazenamento de dados em direo construo doconhecimento. A qualidade da informao ir depender da qualidade dosdados e dos processos e condies definidos em sua transformao. Quemalimentou o sistema de informao com aqueles dados? Por quetransformao ele passou? Quem o responsvel pela informao? Possoter certeza de que esta informao correta?

2.1. Princpios de Segurana da Informao

Conforme a NBR 17799/2003, os princpios bsicos para que umainformao seja considerada segura, so: Integridade: propriedade de salvaguarda da exatido e da totalidade do

conjunto de ativos.

22

Disponibilidade: propriedade de estar acessvel e utilizvel sob demandapor uma entidade autorizada.

Confidencialidade: propriedade de que a informao no esteja disponvelou revelada a indivduos, entidades ou processos no autorizados.

Alm destas caractersticas, esto presentes na NBR ISO/IEC27001:2006 outras, as quais j foram ou sero discutidas no decorrer destetrabalho, tais como:

Legalidade

Responsabilidade

Autenticidade

Autoridade

No-repdio

Auditoria

2.2. Qual a origem dos dados?

Para a identificao da origem dos dados deve ser possvel identificaro usurio. Sistemas que precisam ser abertos ao pblico em que o usurio annimo devem permitir apenas envio de mensagens ou o acesso necessrio divulgao ou marketing do produto, conforme o caso. Pode-se achar que,nestes casos a segurana seria nula, mas na verdade o acesso que deve sermnimo. Um usurio annimo, por exemplo, no deve ser capaz de alterar apgina da sua empresa na Web.

23

Autenticar verificar se a pessoa quem ela afirma ser. Aautenticao faz uso de uma informao que se julga que apenas a pessoacorreta possui (NIZAMUTDINOV, 2005). Normalmente cada usuriocadastrado possui individualmente um cdigo e uma senha. Esta senha podeser digitada ou pode vir da captura de algum dado biomtrico, tal como voz,digital, etc. No caso do reconhecimento biomtrico possvel o uso apenas dodado biomtrico para a autenticao, mas a segurana fica a depender maisda capacidade de processamento, qualidade do dado biomtrico e doalgoritmo usado. J a autorizao verificar se um usurio tem o direito deexecutar uma determinada ao ou se tem acesso a determinados dados. Aautorizao normalmente precedida por autenticao (NIZAMUTDINOV,2005).

Identificado ou no o usurio, o sistema de informao deve ser capazde estabelecer o controle de acesso a este usurio. Esta a medida maisimportante para a proteo da informao (BEAL, 2008). O ideal que aprpria existncia do controle de acesso venha a dissuadir o mau uso dosistema.

O controle de acesso necessrio proteo da confidencialidade,integridade e disponibilidade informao (STEWART, 2008). Aquidisponibilidade a informao representa o direito de acesso informao,processo ou recurso. Na ISO 17799 existe a premissa de que tudo deve serproibido a menos que expressamente permitido.

O controle de acesso algo que deve ser sempre revisto. Seja peloproprietrio da informao, como j dissemos, seja pelos responsveis pelosistema de informao. Um funcionrio demitido no deve ter mantido seucdigo de acesso habilitado. Os papis no sistema devem condizer com os

24

papis no negcio. o que na ISO 17799 se determina de requerimentos donegcio para o controle de acesso.

Ainda que no seja o proprietrio da informao que d a entrada dosdados, ele no deve deixar de existir. Devem haver procedimentos formaispreviamente definidos que incluam as responsabilidades, o uso devido dainformao, a complexidade de senhas e os papis de cada um (NBR ISO/IEC27001:2006). Pode ser til a criao a construo de uma matriz de acesso soperaes ou informaes. Ela permite visualizar o que um usurio ou grupode usurios est autorizado a fazer ou acessar.

2.3. Classificando os Nveis de Segurana

O Departamento de Defesa americano criou o modelo Bell-LaPadulavoltado classificao da informao, definindo diferentes nveis na poltica desegurana. As classificaes so similares ao que foi decretado no Brasil,Decreto n 4.553/2002, quais sejam: Ostensivo: sem classificao, cujo acesso pode ser franqueado. Ultra-secreto: dados ou informaes referentes soberania e integridade

territorial nacionais, a planos e operaes militares, s relaesinternacionais do Pas, a projetos de pesquisa e desenvolvimento cientficoe tecnolgico de interesse da defesa nacional e a programas econmicos,cujo conhecimento no autorizado possa acarretar dano excepcionalmentegrave segurana da sociedade e do Estado

Secreto: dados ou informaes referentes a sistemas, instalaes,programas, projetos, planos ou operaes de interesse da defesa nacional,a assuntos diplomticos e de inteligncia e a planos ou detalhes,

25

programas ou instalaes estratgicos, cujo conhecimento no autorizadopossa acarretar dano grave segurana da sociedade e do Estado.

Confidencial: dados ou informaes que, no interesse do Poder Executivo edas partes, devam ser de conhecimento restrito e cuja revelao noautorizada possa frustrar seus objetivos ou acarretar dano segurana dasociedade e do Estado.

Reservado (que corresponde ao restrito nos EUA): dados ou informaescuja revelao no autorizada possa comprometer planos, operaes ouobjetivos neles previstos ou referidos.

H de se observar que no Decreto n 4.553/2002 houve reclamaesde que o ex-presidente Fernando Henrique Cardoso aumentara os prazos dosigilo para todos os documentos que exigem segurana em relao ao Decreton 2.134/1997. Este fato gerou reclames da sociedade em relao democratizao das informaes e se refletiu no Decreto n 5.301/2004,promulgado pelo ento Presidente Lus Incio Lula da Silva. Este aspectoest definido para os rgos pblicos, mas vale considerar a questo para aorganizao, ainda que ela no tenha relao com questes de segurananacional: Por quanto tempo uma informao classificada como secreta devermanter o seu sigilo?

As Executive Orders3 12356 e 12958, por Ronald Reagan e BillClinton, respectivamente, resumiram, para fins de segurana nacional apenasultra-secretos, secretos e confidencial. Tanto no que se refere aos decretossupracitados como nas Executive Orders, existe a definio especfica dealgumas autoridades que tratam dos documentos ultra-secretos refora oenvolvimento da alta direo das organizaes na classificao dos nveisgerais de segurana.

26

O guia de estudo para a certificao CISSP4 nos apresenta duasregras gerais de controle de acesso e o nvel de confidencialidade de umainformao que so obrigatrias no modelo Bell-LaPadula:

usurio que est em um nvel de segurana no pode ter acesso a um nvelsuperior de segurana

usurio que est em um nvel de segurana no gravar informao de seunvel em um nvel inferior de segurana

Outros modelos foram criados para instituies no militares com focona integridade da informao, tal como o modelo Biba, com o foco naintegridade da informao, ao invs da confidencialidade. J o modelo Clark-Wilson voltado aplicaes comerciais, fazendo uso de um triplo controle deacesso: sujeito (ou usurio), programa e objeto, onde o usurio somente podeter acesso aos objetos atravs dos programas e o controle vem a partir destarelao. No se deve confundir a confidencialidade com a privacidade. Umdocumento pode ser privativo de pessoa ou grupo de pessoas. Aconfidencialidade tem mais a ver com o tipo de atividade ou papel hierrquicodecisrio.

2.4. Segregao de Funes e Redes de Comunicao

Outro modelo de classificao e controle da informao o de Brewere Nash, o qual busca identificar as situaes e conflitos de interesses, deacordo com os papis que o usurio pode ter, sendo de mais difcil controlequando a base de dados no unificada.

3 Ordens o Poder Executivo dos Estados Unidos da Amrica de carter regulatrio.

4 Certified Information Systems Security Professional

27

Sobre a questo da segregao de funes o Tribunal de Contas daUnio o define como princpio bsico do sistema de controle interno queconsiste na separao de funes, nomeadamente de autorizao, aprovao,execuo, controle e contabilizao das operaes. O seu propsito reduziras oportunidades de modificao ou uso indevido no autorizado ou nointencional dos ativos da organizao.

No Manual de Auditoria de Sistemas do TCU5 recomendado que asegregao de funes exista, inclusive, na equipe de Tecnologia daInformao. Aqueles que testam o sistema devem ser diferentes daqueles queo desenvolvem, por exemplo.

Em se tratando dos processos de um rgo pblico, por exemplo, aliquidao de uma despesa no pode ser feita pelo gestor financeiro ou peloordenador da despesa. O Acrdo n 330/2005 do TCU exige at mesmo quehaja segregao entre a fase de habilitao e a fase de avaliao daspropostas tcnicas em envelopes separados.

A segregao de redes, tal como uma restrio fsica s informaes,contribui no sentido de prevenir o acesso no autorizado a um servio de redee melhor monitorar grupos de usurios e sistemas de informao (NBRISO/IEC 27001:2006).

5 TCU Tribunal de Contas da Unio

28

2.5. Conscientizao da Importncia da Segurana da Informao

A classificao de nveis de segurana no imutvel, devendo haverum acompanhamento contnuo dos processos e seus riscos com o passar dotempo. algo que deve fazer parte da cultura da organizao (BEAL, 2008).

As classificaes contribuem para a percepo dos riscos e valoresenvolvidos nos negcios. Aspectos como a criticidade da disponibilizao deum servio ou informao tambm deve fazer parte da classificao. Sendoimportante a representao numrica na classificao a fim de auxiliar agesto de riscos (WESTERMAN & HUNTER, 2008).

Na ITIL, a definio de quo rpido deve ser ou no a restaurao e oefetivo retorno normalidade de um servio deve ser definido no Acordo doNvel de Servio (ANS) que deve ser feito entre o departamento de TI e ocliente. A rapidez da resoluo diretamente proporcional ao custo dasoluo.

O envolvimento maior de todos os executivos da organizao tem setornado uma exigncia graas ao carter mais normativo que vem assumindoa segurana da informao, deixando de ser apenas uma questo tcnica,. ONovo Cdigo Civil traz maior responsabilidade aos administradores dasempresas e autoridades do Governo. Os gerentes de segurana e riscosprecisam se relacionar cada vez mais com os departamentos de suaorganizao, no apenas com Tecnologia da Informao e Auditoria. H cadavez mais aspectos jurdicos e de recursos humanos envolvidos.

29

Segundo a 10 Pesquisa Nacional de Segurana da Informao daMdulo, empresa especializada em Gesto de Riscos, publicada em 2008, afalta de conscientizao (55%) citada como o principal obstculo para aimplementao de segurana da informao, seguida da falta de oramento(28%).

2.6. Auditoria e Monitoramento da Informao

Os sistemas de informao devem guardar a origem da informao.Esta informao pode ser nova, modificada ou vir a ser excluda. Ao histricodestas operaes damos o nome de trilhas de auditoria, contendo basicamenteo usurio, a data da operao, o objeto da operao e o tipo de operao.

Na fase de testes do sistema esperado que o sistema contemple osrequisitos para os quais foi constitudo. Uma boa prtica desde onascedouro prover informaes sobre os processos e o manuseio dos registrosde dados.

Trilhas de auditoria pode se fazer necessrias por algumas razes:

informao relevante ao negcio

responsabilizao

deteco de comportamento que levante suspeitas

A documentao do sistema e o conhecimento da atividade so degrande relevncia para a avaliao dos sistemas de informao e de suasegurana. Contudo o acesso s informaes fora dos sistemas tambm deve

30

ser avaliado. Uma informao pode ser privativa pelo sistema, contudo podemexistir vulnerabilidades na base de dados que permitam o acesso direto comdireito de gravao fora da aplicao padro.

Na definio do contedo das trilhas de auditoria deve-se levar emconta o volume de transaes, pois a incluso de dados de auditoria podesignificar grande consumo de recursos. O impacto na aplicao deve serjustificvel diante do impacto e da relevncia do negcio. Porm elas somentepossuem valor se podem se no puderem ser corrompidas. Se no houvergarantia de que aquele que registra os dados no pode alterar o histrico oseventos de atualizao sofridos pela informao, esta trilha no confivel. Osistema de informao em si alvo de auditoria. No caso de teste do sistema,de acordo com a norma ISO 17799, deve ser provida cpia da trilha deauditoria do uso das operaes do sistema. Inclusive, as concesses erevogaes de contas em sistemas deve ser auditada.

Em alguns casos, recomenda-se a gravao de cpias de arquivos delogs ou trilhas de auditoria. As trilhas podem ser replicadas em uma base dedados centralizada ou em um sistema de diretrios centralizado com restriesde acesso.

Freqentemente se pensa em auditoria com referncia a um evento,mas ela pode tambm dizer respeito a um estado como resultado de umsomatrio de eventos, como o caso de medidas de desempenho, ao quecomumente se chama de monitoramento. Nestes casos so definidos espaosde tempo para o monitoramento de acordo com as atividades em estudo.

A perda de desempenho de um sistema pode ser o objetivo de umainvaso externa e pode acarretar em prejuzo para a organizao.

31

Temos, tambm, a necessidade do monitoramento constante daconformidade do servio de TI com os requisitos do negcio. Auditoriaspodem ser tanto internas como externas. Seja como for, o uso de frameworks(estruturas) padronizadas como o COBIT (Controle para a Informao eTecnologias Relacionadas) tem sido cada vez mais populares para processosde TI. Organizaes que esto iniciando em gesto de riscos normalmente ofazem a partir dos resultados da auditoria (WESTERMAN & HUNTER, 2008).Por conta disso, recomenda-se a utilizao das melhores prticas aproveitandoo resultado da experincia de outros nesta rea, evitando-se tambm riscosdesnecessrios.

32

CAPTULO III AMEAAS E VULNERABILIDADES

" Nenhum trabalho de qualidadepode ser feito sem concentrao eauto-sacrifcio, esforo e dvida."(Max Beerbohm)

O executivo de negcios nem sempre entende as ameaas por quaispassa a informao em um Sistema de Informao. Este capitulo no seprope a abordar todos os tipos de ameaas ou vulnerabilidades e seuscorrespondentes mecanismos de controle, mas intenta sensibilizar osresponsveis pela necessidade da segurana da informao e da gesto deriscos.

A auditoria de sistemas um grande aliado na anlise de ameaas evulnerabilidades, pois confronta os sistemas de informao com normastcnicas de melhores prticas em segurana da informao e analisa osprocedimentos e as trilhas de auditorias dos sistemas.

Os tipos de ameaas e vulnerabilidades iro variar conforme oambiente interno e externo da organizao. A infraestrutura de dados e decomunicao utilizada, a organizao dos processos, a cultura de seguranados usurios, o apoio da direo poltica de segurana da informao, acompetitividade do mercado, a visibilidade da organizao, tudo isso sofatores a serem considerados.

Identificar os riscos importa em identificar as ameaas e asvulnerabilidades que podem ser aproveitadas por estas aos sistemas deinformao envolvidos e o impacto que as perdas de confidencialidade,integridade e disponibilidade podem causar aos ativos .

33

3.1. Identificao das Vulnerabilidades e Ameaas

No existe ambiente totalmente seguro. Independentemente de todo oaparato tecnolgico, sempre haver o elemento humano. As melhoresferramentas at ento conhecidas podem ter sido aplicadas, mas nem todasas vulnerabilidades so conhecidas em um momento especfico no tempo.

As vulnerabilidades so pontos em que o sistema susceptvel aataques. Consideramos aqui tambm, alm das fragilidades do sistema, errosque nele existam. A identificao das vulnerabilidades tcnicas nem sempre trivial, requerendo, em geral, profundo conhecimento de Tecnologia daInformao e de Comunicao.

Houve um perodo de bastante divulgao da existncia de ovos depscoa dentro de programas de prateleira como as ferramentas do MicrosoftOffice e o sistema operacional Windows 95. Aps uma seqncia decomandos era possvel ver uma apresentao programa escondida dentro doWindows 95 (TABER, 1998). De fato, normalmente a maioria dos usuriosutilizam muito pouco de todas as funcionalidades dos softwares queadquiriram.

Contudo, diversas so as vulnerabilidades associadas a procedimentosou ao comportamento humano. A questo das senhas um bom exemplo. fcil entender que, quanto mais complexas as senhas, mais difcil se torna adescoberta delas. Porm, na mesma proporo, mais difcil se torna decor-las. Uma nica senha igual para todos os sistemas facilita a memorizao,mas por outro lado se traduz em uma vulnerabilidade que afeta todos ossistemas em questo. Outra alternativa encontrada por algumas pessoasquando a senha muito complexa anotar a senha em algum papel. Avulnerabilidade da senha acrescida pela vulnerabilidade do acesso ao papelcom a senha!

34

A exigncia de atualizao de senha, apesar de incmoda, contribuipara com a segurana da informao.

Em alguns casos possvel se fazer passar por outro no sistema semo conhecimento, consentimento ou sem que haja falha de procedimento porparte do usurio, mas sim, por conta da baixa qualidade da segurana dosistema ou da falta de utilizao de recursos de segurana disponveis. Umatransao sensvel que no seja atravs de canal ou protocolo de comunicaoseguro uma vtima fcil.

Na figura a seguir vemos a tela de um sniffer executado em meucomputador. Trata-se de um programa que fareja o que passa pela rede.Com ele possvel interceptar a comunicao ouvida pelo dispositivoconexo com a rede, normalmente a placa de rede.

Figura 2 Tela do programa SmarSniff v.1.4 da Nir Sofapresentando dados de meu computador

35

Neste exemplo, usei o Firefox para navegar na Internet, que apareceidentificado como Mozilla no quadro inferior. Fiz pesquisa de imagem no stiode buscas do Google (protocolo http) e abri uma conexo segura com o de umbanco (protocolo https). Informaes como estas podem estar disponveis aquem possuir o acesso conexo de rede que se quer analisar ou invadir.

Nas recomendaes Boas Prticas em Segurana da Informao doTCU, vemos os motivos para o cuidado especial com alguns arquivos. Almdos cuidados j citados, destacamos a preocupao com os seguintesarquivos:a) Arquivo de Senhas um ponto nevrlgico de qualquer sistema. Minha

prtica tem sido aproveitar a segurana de outros produtos ao sistema a serdesenvolvido. Por exemplo, se for possvel que cada usurio possua umasenha no banco de dados, validar este usurio atravs do banco. Outroexemplo seria aproveitar a validao no sistema operacional para identificaro usurio. Outra alternativa deixar como senha uma informaobiomtrica.

b) Arquivos de Log alm de se poder apagar os rastros de um ataque, deve-se cuidar para que os dados de log no comprometam informaessigilosas.

c) Arquivos do Cdigo Fonte o acesso ao cdigo fonte pode servir para queoutros identifiquem vulnerabilidades no percebidas pelosdesenvolvedores.

3.2. Programas de Ataque Segurana da Informao

Quando ocorre o acesso fsico ao computador se torna muito mais fcila quebra de segurana. Programas que atuam de forma ilcita divulgando,alterando ou destruindo informaes alheias so denominados de malwares,que significa literalmente software malicioso. Neste grupo encontramos:

36

vrus - que, como o nome sugere, um programa que infecta o seuhospedeiro, um ou mais arquivos, e tende a se multiplicar ou a destruir ohospedeiro

worm (verme). eles infesta a rede sobrecarregando recursos, liberandoacessos e realizando operaes remotas sem que o usurio se d conta.Colabora com a distribuio de listas de e-mails e mensagens falsas.

spywares so os softwares espies, passando informaes docomputador infectado.

cavalo de Tria como o nome sugere, a um programa que debilita asdefesas do hospedeiro se fazendo passar por outro um programainofensivo ou gerando informaes falsas. Pode se instalar como umservio do sistema operacional ou um certificado, por exemplo.

keyloggers programas que capturam e divulgam o que se tecla. Os alvosusuais so as senhas. Faz parte de uma das categorias anteriores.

Nem sempre corrupo ou divulgao de informao do usurio docomputador o objetivo de uma invaso. Existem programas cuja inteno a propaganda de servios ou produtos, tal como ocorre quando janelasindesejveis surgem em um navegador Internet sem bloqueador. Taisprogramas se chamam adwares. comum a presena de adwares emprogramas do tipo shareware a fim de incentivar a aquisio da licena.

3.3. Hackers e Crackers

O jornal O Estado de So Paulo apresentou em um artigo a diferenaentre hackers e crakers.

Os hackers so pessoas com bastante conhecimento da tecnologiaque, muitas vezes colocam os seus conhecimentos a servio da sociedade. O

37

software livre um exemplo disso. Os hackers em geral atuam comojusticeiros por causas que entendem como sendo justas, defendendo aliberdade de conhecimento, ainda que nem sempre sejam legais. Quem noolha com certa simpatia para um 'pichador' de sites de empresas que teimamem pescar baleias?

Quando se trata de atuao criminosa puramente com o fim de tirarproveito prprio, a denominao usual a de crackers.

O uso de polticas de privacidade, a alterao de senhas de usuriospadres e limpeza de arquivos temporrios, podem evitar que informaespessoais fiquem disponveis a outros usurios. Existem usurios previamentedefinidos com o controle total do equipamento, so os administradores. Noambiente Microsoft Windows temos o Administrator (ou sua verso na lnguaescolhida para a instalao). No UNIX temos o root. Equipamentos de redeconfigurveis possuem normalmente um gerente denominado admin. Obanco de dados Oracle possui um usurio de nome SYS que funciona comoo gerente do banco e assim segue. Alm de usurios padres existem portaspadres. Estas informaes geralmente so de conhecimento dos hackers eso brechas que podem ser facilmente testadas. Mas nem todas as brechasso to fceis. O Gerente de Segurana da Informao deve se mantersempre atualizado quanto s vulnerabilidades do parque de equipamentos eprogramas instalados a fim de minimizar as alternativas de ataques.

3.4. Sistemas de Verificao de Vulnerabilidades

Sistemas operacionais e demais programas de suporte, tais como onavegador da Internet, mquina Java, frameworks e players, devem sermantidos sempre atualizados. Normalmente eles possuem algum tipo de

38

controle interno, que pode ser centralizado, informando ou at mesmoatualizando de vez o programa.

Incluem-se nesta categoria os programas de proteo, tais comoantivrus e antispywares. Certificados digitais tambm devem ser atualizados.Quando vencidos, exigem que o usurio libere excees de acesso nonavegador da Internet. A prtica comum pode acabar permitindo com que umcertificado falso venha fazer parte da exceo.

A habilitao da atualizao automtica de programas pode pesar narede ou no computador e em alguns casos pode-se considerar umaatualizao mais espaada no tempo.

Existem ainda sistemas capazes de verificar se alguma porta docomputador est desprotegida e se a configurao do sistema operacional eda rede est compatvel com os requisitos de segurana at ento conhecidos(VACCA, 2005). A execuo destes programas deve ser feita por quementende as operaes por ele propostas.

A integrao entre os prprios sistemas da organizao podem provermaior segurana ao conjunto. Se, por exemplo, um funcionrio est em gozode frias, no seria normal que ele viesse a acessar um computador de dentroda empresa.

3.5. Principais Ameaas Segurana da Informao

O ataque deriva de uma ameaa inteligente e uma ao deliberadacontra as polticas de segurana do sistema aproveitando-se de umavulnerabilidade.

39

O ataques contra a confidencialidade podem ter por resultado aliberao de informao no autorizada para fins de divulgao ou fraude.Ataques contra a integridade iro contra a confiabilidade da informao. Eataques contra a disponibilidade iro contra o suporte ao servio ou adestruio da informao. Seja como for, com certeza as maiores ameaasesto dentro da prpria organizao, de forma que um firewall6 pode no sersuficiente (VACCA, 2005).

Steven M. Bellovin (JAJODIA, 2008), da Universidade de Columbia,lembra que a questo dos ataques internos no algo novo. Em 1978, DonnParker, na inaugurao de seu livro O crime por Computador, estimou que95% de ataques a computadores foram cometidos por usurios autorizados dosistema. Podemos dizer que se tratava de tempos em que o controle deacesso era incipiente. Porm, a realidade de que nem todos os usurios soconfiveis permanece.

Em 2007, o escritrio de pesquisas das Foras Armadas dos EstadosUnidos da Amrica patrocinou um workshop sobre um workshop sobre ataqueinterno. Participaram convidados incluindo pesquisadores de segurana,acadmicos, vendedores, tcnicos e representantes de outras organizaesque perceberam no usurio interno uma grande ameaa. Uma vez que ele jest dentro da organizao ele j ter pulado algumas restries aos servios.

O mau uso do acesso um dos ataques mais difceis de se identificar.Um usurio pode ter se autenticado, estar autorizado, e ainda assim ser umagrande ameaa segurana da informao. Para o sistema ele quem afirmaser, contudo basta o descuido para com o sistema aberto e qualquer um podese fazer passar por aquele usurio, ficando a segurana do sistema fragilizada.Neste caso teria havido cumplicidade, ainda que passiva, do usurio quedispe da autorizao.

6 Firewall um dispositivo ou programa que limita o acesso a certos recursos de rede e pode exigir a

autenticao do usurio externo para a liberao do acesso

40

Como alternativa existe a temporizao da inatividade de um sistemaaberto ao usurio. Uma vez que o tempo determinado venha a se extinguir, ousurio se ver obrigado a se autenticar novamente. Outra alternativa, quandoinformaes crticas ou mais sensveis esto para ser acessadas aconfirmao com autenticao biomtrica, inviabilizando ou minimizando atroca de usurios.

O preparo da defesa contra ataques ao controle de acesso pode sermais simples, porm em outros casos, o caminho est primeiramente nadeteco do ataque e at mesmo no alerta sobre a situao. A defesa pornveis de acesso pode incluir a necessidade de mais de uma autorizao outipo de autorizao. Em alguns casos a defesa contra os ataques podesignificar perda de certa privacidade do usurio, uma vez que seu perfil eaes podem estar sendo armazenadas pelo controle.

Apesar de mais difcil, a utilizao de anlise de comportamento dousurio ou de alterao de padres previstos uma alternativa no caso desterecurso estar disponvel, porm somente se presta em situaes em que operfil do usurio ou da utilizao dos recursos esto mapeados.

Ataques que se aproveitam de vulnerabilidades tcnicas de sistemasde aplicaes normalmente precisam de algum tipo de ajuda de dentro. Estaajuda pode no ser intencional por parte do usurio interno, seja por conta decomportamento imprprio, seja por conta de curiosidade quanto aos limites deseus direitos no sistema. Deve fazer parte da poltica e dos procedimentos desegurana da informao a atualizao constante dos softwares de deteco etratamento de ameaas como vrus, cavalos-de-tria, spywares, etc.

Quando possvel para o usurio baixar de programas da Internet, eledeve estar consciente de que pode estar sendo um portal para ataques. Stiosna Internet que no so confiveis devem fazer parte de lista de bloqueio.

41

A Mdulo apresentou, como resultado de sua pesquisa, quais osproblemas que geraram perdas financeiras para governo e empresas.Infelizmente nem todos possuem controle das invases e conseqentesperdas. Os vrus possuem posio de destaque, seguidos dos spams. SPAM um termo genrico para mensagens enviadas em massa por algum quegeralmente obteve o e-mail do destinatrio sem o seu consentimento. A figuraa seguir apresenta o resultado desta pesquisa:

Figura 3 Problemas que geraram perdas financeiras.Fonte: Extrado da 10 Pesquisa da Mdulo Nacional de Segurana da Informao

42

CAPTULO IV INFRAESTRUTURA DE SEGURANA DAINFORMAO

The early bird gets the worm, but it'sthe second mouse that gets thecheese. (Steven Wright)

Neste captulo iremos abordar algumas ferramentas de proteo contraataques e reduo das vulnerabilidades. Tais ferramentas no isentam apreocupao com qualidade das aplicaes envolvidas nem a necessriaconscientizao do uso de prticas mais seguras.

Kenneth J. Knapp e Franklin Morris, examinando as similaridades entreas clulas biolgicas e um sistema de rede de computadores defendeu o quechamou de defense-in-depth, que se trata de fazer uso de mltiplas tcnicas ecamadas a fim de minimizar os riscos quando uma camada fossecomprometida (TIPTON & KRAUSE, 2008).

A segurana deve ser feita em diferentes camadas, com mais de umaalternativa de proteo. Uma vez que uma proteo apresente algumavulnerabilidade e seja superada, se esta for a nica proteo, a informao jfica exposta. A segurana em camadas abrange controles fsicos, lgicos emanuais. Diante de restries oramentrias, as aes preventivas devem seras privilegiadas (BEAL, 2008).

Seja como for, a segurana fsica aos pontos de acesso deve ser umapreocupao bsica para a garantia das demais camadas. A segurana fsicano envolve apenas a garantia dos equipamentos instalados, mas tambm apreveno de que nenhum novo ponto de acesso no autorizado sejaadicionado rede (WILES & ROGERS, 2007)

43

4.1. Criptografia Simtrica e Assimtrica

um tipo de proteo na codificao da mensagem. Quando umcanal de rede no seguro, informaes como senhas e dados financeirospode ser transmitidos na rede de forma aberta. Programas denominadossniffers podem identificar este trfego.

A criptografia tcnica de se escrever em cifra ou cdigo. Sem acriptografia no existiria comrcio eletrnico (BEAL, 2008). A criptografiasimtrica exige feita com uma chave, a qual ser usada para a posteriordecodificao e leitura da informao. Seu uso se faz quando emissor ereceptor possuem uma relao de confiana. Alguns sistemas tm seu cdigofonte a estrutura de montagem da chave de criptografia, tornando o cdigo umforte ponto de vulnerabilidade do sistema.

A criptografia assimtrica possui uma chave pblica e outra privada.Ambas so diferentes, sendo que uma usada para a codificao damensagem e a outra para a decodificao. A chave privada deve ser doconhecimento apenas de seu proprietrio. A chave pblica, por outro lado deconhecimento de ambos, um documento codificado com a chave pblica nopode ser decodificado por ela, como se fosse uma chave simtrica. Assim, nacodificao com a chave pblica, o proprietrio das chaves confirma aconfidencialidade da informao e a autenticidade (STAMP, 2008).

A decodificao na criptografia assimtrica requer maior poder deprocessamento do que na simtrica. Os protocolos TSL e SSL fazem uso dosdois tipos de criptografia. O canal seguro garantido inicialmente com acriptografia assimtrica, por onde a chave para a criptografia simtrica enviada. Em seguida a comunicao passa a ser criptografada por esta chave.

44

As anlises matemticas em criptografia tem evoludo muito. Muitoestudo tem sido feito com geradores de chaves e simuladores de ataques. Umtipo de anlise o de coliso, quando duas partes distintas de um dadoproduzem o mesmo resultado aps a criptografia. Este caminho difere do usoda fora-bruta, onde todas as combinaes possveis dentro de um tamanhoe uma faixa determinada de caracteres so testadas.

Em fevereiro de 2005 foi anunciado que Xiaoyun Wang e outroscolegas da Shandong University, na China, haviam demonstrado a quebra doalgoritmo SHA-1 atravs da anlise de colises em 269 operaes. Comforabruta seriam necessrias 280 operaes. importante que, a dependerdo uso a quebra era possvel em 233 operaes! Assim, Xiaoyun Wangobservou que um algoritmo pode apresentar importantes vulnerabilidades,ainda que empregue funes no-lineares (que so as mais difceis de seremdescobertas e o caso do SHA), por conta da forma de sua utilizao. O usoadequado das funes reforam a segurana de um algoritmo criptogrfico(PRENEEL & LOGACHEV, 2008). O tempo esforo consumido ir dependerdo tamanho da chave utilizada e dos tipos de combinaes que se fizer.

As organizaes IT Governance Institute e The Office of GovernmentCommerce alertam em seu trabalho sobre o alinhamento entre COBIT 4.1, ITILv.3 e a ISO/IEC 27002 quanto importncia da gesto de chaves decriptografia de acordo com o seu ciclo de vida (ITGI & OGC, 2008)

4.2. Certificados digitais e a Infraestrutura de Chaves Pblicas

Na comunicao padro temos o emissor e o receptor. Quandofalamos em PKI (Public Key Infrastructure) ou Certificao Digital, temosnormalmente uma terceira entidade responsvel pela garantia daconfiabilidade da mensagem. Algum em que ambos confiam. O transmissorda mensagem tem sua identidade conferida pela certificadora. O certificado

45

pode assegurar tanto um usurio, um provedor de informaes ou umprograma. Existem meios de se fazer uma transao interna nos moldes dacertificao digital, porm o normal a existncia de uma entidadecertificadora. Este tipo de soluo vem alcanando cada vez mais espao,porm, tem sido questionada quanto aos prazos de validade que asautoridades certificadoras concedem. Outro problema a possibilidade de queuma autoridade certificadora cesse a sua existncia ou se torne indisponvel.O negcio ficaria a depender da certificao e a falha indevida pode levar aprejuzos (GLADNEY, 2007).

A infraestrutura de chave pblica exige uma hierarquizao paraotimizar a comunicao em rede. No Brasil, a Medida Provisria n 2.200/2001criou um Comit Gestor vinculado Casa Civil da Presidncia da Repblica,que trata de questes como a validade jurdica e tributria de documentoassinados digitalmente. Os produtos e-CPF e e-CNPJ bastante divulgadospela Receita Federal e por certificadoras autorizadas so certificados digitais.

A assinatura digital no d privacidade a um documento, ela apenasassegura a integridade e o no-repdio. Para que haja privacidade necessrio que o documento seja criptografado com a chave pblica dodestinatrio e a ele seja enviado, de forma que somente ele poder decodificare ler o contedo da mensagem com a chave privada dele (STEWART, 2008).

4.3. Redes Privadas Virtuais - VPN

A rede virtual privada permite criar uma espcie de tnel, de um pontoao outro, dentro de uma rede menos confivel. A maioria das VPNs fazem usode criptografia. Atravs da VPN pode-se criar uma conexo entre duas redesdistintas ou dois computadores, sendo de grande utilidade no caso de sistemaslegados que no possuem confiabilidade na comunicao de dados,

46

aproveitando o custo mais baixo do acesso Internet com os potenciaisbenefcios de uma rede mais segura (FRAHIM & HUANG, 2008).

Este recurso beneficia no apenas os pontos fixos de rede comotambm os mveis. Atravs de uma VPN pode-se ter uma conexo seguracom o escritrio de casa, de um hotel ou aeroporto, por exemplo.

O IPsec um dos protocolos mais utilizados em VPN. Sua proteo feita em um nvel abaixo do SSL (Secure Socket Layer). Ele foi criado a fim degarantir a integridade dos pacotes de dados, autenticao e criptografia. Oprotocolo SSL foi desenvolvido pela Netscape a fim de promover o comrcioeletrnico na Web e evoluiu para aplicaes de correio eletrnico (FRAHIM &HUANG, 2008). A vantagem do SSL para com o IPsec que o SSL maissimples e todos os navegadores so compatveis. O IPsec ainda dependente do sistema operacional (STAMP, 2008). A figura a seguir mostraestes protocolos em relao s camadas de comunicao de rede.

Figura 4 Protocolos SSL e IPsecFonte: Mark Stamp, Information Security, 2008

47

4.4. Smartcards

Os smartcards so cartes que integram um chip para processamentode operaes aritmticas. Eles so uma forma conveniente de se guardar asenha. Os smartcards podem processar dados e tomar decises inteligentes emais seguras, como a proteo contra comportamento indesejado. Umaalternativa armazenar uma representao eletrnica da impresso digital deforma a poder verificar se o usurio do carto realmente o seu proprietrio,em um leitor ou pelo prprio carto. O smartcard pode ainda levar informaesde certificao ou assinatura digital (BRANDS, 2000).

O acesso memria do smartcard garantida contra acesso noautorizado e o carto pode se desabilitar aps tentativas de uso de um cdigofalso. Os cartes tambm podem ser protegidos contra cpias e imune avrus ou trojans.

4.5. Firewall

Um firewall pode ser instalado atravs de software no computador quese deseja proteger ou como um hardware a parte protegendo toda uma rede.O firewall funciona como um filtro, podendo determinar o que pode passar deuma rede para outra, por quais portas, quais protocolos e ainda fazer auditoriadas conexes (ROGER, 1998).

A funcionalidade de restringir o acesso a rede pode ser feito emconjunto com a configurao de outros dispositivos de rede (roteadores,switches, etc) e deve ser feita de acordo com o planejamento da segmentaoda rede, potencializando a segurana da rede (KLOSTERBOER, 2008).

48

Um firewall no capaz de detectar todo o tipo de ameaa, contudocada vez tem sido incorporadas solues para a preveno e deteco deinvases (BEAL, 2008).

4.6. Ferramentas de Replicao e Backup

Computadores so equipamentos eletrnicos susceptveis a falhas.Erros que provoquem a perda da informao necessitam de alternativas derecuperao a fim de promover a restaurao do servio. Como j fora dito,deve haver um planejamento destes servios baseando-se na classificao dainformao e na criticidade do sistema. Pesquisas da Mdulo at 2003apontavam que os sistemas de backup normalmente faziam parte das medidasmais implementadas em termos de segurana por empresas, juntamente como firewall.

recomendvel que a guarda das mdias de backup se situemgeograficamente distantes do servidor de origem, tal como deve ocorrer nocaso de replicao de recursos para o provimento de um servio, visto que aindisponibilidade do servio pode ter causas outras que no um defeito comumem parte do circuito, mas pode ser resultante de desastres como inundaes,incndios e atos de vandalismo ou terrorismo (TCU, 1998). Simulaes derecuperao de incidentes devem fazer parte do planejamento da gesto deriscos e de continuidade do negcio.

Em investigao forense a comparao entre backups podedemonstrar o versionamento da informao, a depender do perodo dereteno do backup. Isso chama a ateno para um erro que pode sercomum: quando a segurana imposta no sistema de informao no mantidano manuseio do backup, de forma que a confidencialidade do backup venha ase tornar em uma vulnerabilidade (VOLONINO & ANZALDUA, 2008).

49

CAPTULO V GESTO DE RISCOS

Ter sucesso na Gesto de Riscos no significa necessariamente queno haver riscos, mas que fomos capazes de quantificar o risco e decidir queriscos estamos dispostos a correr. Gesto de riscos tomar decises oumapear os riscos de forma a contribuir para que estas decises sejamtomadas. Em contrapartida iremos considerar o valor da informao noconfronto com os custos da segurana da informao.

No podemos deixar de considerar na anlise de riscos estes trsaspectos que devem fazer parte de qualquer porjeto de segurana: Pessoas(cultura, capacitao e conscientizao), Processos (metodologias, normas eprocedimentos) e Tecnologia (ferramentas que comportam os recursos fsicose lgicos).

Figura 5 Aspectos a considerar em projetos de segurana.Fonte de referncia: Portfolio da Mdulo Security

50

Estes trs aspectos so o tema da abordagem por disciplinas que sedivide em (WESTERMAN & HUNTER, 2008): alicerce base tecnolgica: infraestrutura e aplicaes processo de governana do risco processo que proporcione viso geral

dos riscos nos diferentes nveis da empresa e permita a administrao dapriorizao e do investimento, bem como a administrao por nveis.

Cultura de conscincia do risco conhecimento amplo e aberto adiscusses como norma.

Uma anlise de riscos que deixe de fora estes aspectos pode serfadada ao fracasso.

5.1. Maturidade da Gesto de Riscos

De acordo com a definio contida no COBIT 4.0 (2005), a gesto dosriscos requer a conscientizao da alta direo executiva da empresa, um claroentendimento do risco que a empresa est disposta a correr, compreender osrequisitos normativos envolvidos, transparncia quanto aos riscos significativospara a empresa e a insero das responsabilidades na administrao de riscosdentro da organizao.

Seguem os nveis de maturidade segundo em gesto de riscossegundo o COBIT 4.1:

0) No existente, quando a avaliao de risco para processos e decises denegcios no ocorre. A organizao no considera os impactos nosnegcios associados s vulnerabilidades de segurana e incertezas nodesenvolvimento de projetos. A gesto de riscos no identificada comorelevante ao se adquirir solues em TI e na entrega de seus servios.

51

1) Inicial/Ad Hoc, quando os riscos de TI so considerados de maneirainformal. Avaliaes informais de riscos de projetos surgem conforme asituao particular de cada projeto. As estimativas de risco algumas vezesso identificadas em um planejamento de projeto, mas raramente atribudasa gerentes especficos que sejam responsveis por elas. Riscosespecficos de TI, tais como segurana, disponibilidade e integridade, soconsiderados ocasionalmente no projeto bsico. Riscos de TI que afetemoperaes do dia-a-dia quase nunca so discutidos nas reuniesgerenciais. Onde os riscos foram considerados, a minimizao dos danos inconsistente. Existe um entendimento emergente de que os riscos em TIso importantes e precisam ser considerados.

2) Repetitivo mas intuitivo, quando o desenvolvimento de uma abordagemde avaliao de risco existe e implementada sob a ponderao dosgerentes de projeto. A gesto de risco habitualmente tratada em pelos deescalo superior e tipicamente empregada nos principais projetos ou emcaso de ocorrncia de problemas. Os processos de minimizao de riscosso implementados onde os riscos so definidos.

3) Definido, quando uma organizao, em uma ampla poltica de gesto derisco, define quando e como conduzir as estimativas de risco. Aadministrao do risco segue um processo definido e documentado.Treinamento em gesto de risco est disponvel para todos os membros daequipe. Decises para seguir o processo de gesto de risco e recebertreinamento se releva como deciso individual. A metodologia deestimativa de risco convincente e slida, e garante que os riscos chavesdo negcio sejam identificados. Um processo para minimizar os ricoschaves normalmente institudo assim que os riscos so identificados. Asdescries dos cargos consideram as responsabilidades pela gesto dosriscos.

52

4) Gerenciado e Monitorado, quando a estimativa e o gerenciamento dorisco um procedimento padro. Excees ao processo de gerenciamentode risco so reportados ao gerente de TI. Gesto de risco de TI responsabilidade de um gerente snior. O risco avaliado e minimizadoindividualmente no nvel de projeto e tambm regularmente considerado portoda a operao de TI. Os gestores so avisados em caso de mudanasno negcio e no ambiente de TI que possam afetar de forma significativa oscenrios de risco. Os gestores esto habilitados a monitorar a situao dorisco e a decidir se as condies medidas esto em conformidade com oesperado. Todos os riscos identificados possuem um proprietriodesignado e tanto a alta direo, como o gerente de TI, determinam osnveis de risco que a organizao ir tolerar. Gerentes de TI desenvolvempadres de medidas para estimativas de risco e definem as relaes derisco/retorno. H o pressuposto de que a gerencia reavalie os riscooperacionais regularmente. criado uma base de dados de gesto deriscos, e parte dos processos de gesto de risco comeam a serautomatizados. Os gestores de risco de TI cuidam de estratgias deminimizao de riscos.

5) Otimizado, quando a gesto de risco evoluiu a um estgio em que umprocesso estruturado est implantado amplamente na organizao e bemadministrado. Boas prticas so aplicadas por toda a organizao. Acaptura, anlise e relatrio dos dados de gesto de riscos esto bastanteautomatizados. A orientao tomada por especialistas da rea e aorganizao de TI toma parte em grupos para troca de experincias. Agesto de riscos realmente integrada a todos os negcios e s operaesde TI, bem aceita e envolve os usurios dos servios de TI. A direodetecta e age quando as principais operaes de TI e decises deinvestimentos so feitas sem considerar o plano de risco. A direocontinuamente avalia estratgias de minimizao de riscos.

53

5.2. Atribuindo Responsabilidades para com os Riscos

Segundo o COBIT 4.1 (2007), todo evento que representa um riscodeve ser identificado, analisado e estimado, o que, uma vez realizado, devebuscar minimizar os seus e comunicar o risco residual, que o risco que sesabe estar ainda correndo.

A matriz abaixo, denominada de R.A.C.I. (um acrstico do queidentifica) representa uma simplificao do que definido na estrutura doCOBIT 4.1. Ela indica os responsveis (R), quem deve prestar contas (A),quem deve ser consultado (C) e quem deve ser informado (I). A simplificaoest na gerncia de Tecnologia da Informao, incluindo arquitetura,desenvolvimento e a gesto de sistemas.

Gestores:1 CEO Chief Executive Officer Diretor2 CFO Chief Financial Officer Diretor3 Executivos da Empresa4 CIO Diretor5 Gerentes Seniores6 Gerentes Operacionais7 Gerentes de TI (arquitetura, desenvolvimento, administrao)8 PMO Gerentes de Processos9 Conformidade, Auditoria, Risco e Segurana em geral.

Atividades / Gestores 1 2 3 4 5 6 7 8 9Determinar o alinhamento da gesto de risco A R/

AC C R/

AI I

Entender estratgias relevantes aos objetivos donegcio

C C R/A

C C I

Entender processos relevantes aos objetivos donegcio

C C R/A

I

Identificar objetivos de TI e estabelecer ocontexto do risco

R/A

C I

Identificar os eventos associados aos objetivosdo negcio

I A/C

A R R C

Estimar os riscos associados aos eventos A/C

A R R C

Avaliar e selecionar os responsveis pelo risco I I A/C

A R R C

Priorizar e planejar o controle das atividades C C A A R R C C

54

Aprovar e garantir fundos para os planos deaes de risco

A A R I I I

Manter e monitorar os planos de aes de risco A C I R R C C C RTabela 2 - Matriz R.A.C.I.

Fonte: Adaptada do COBIT 4.1, Gerenciamento de RiscosTrata-se de um modelo que deve ser ajustado nas condies e

caractersticas da organizao. importante observar que no COBIT osgestores de riscos, segurana, auditoria e de conformidade com os requisitoslegais participam das outras matrizes RACI como devendo ser consultados.Esta matriz ir orientar o processo de planejamento dos projetos, mudanas,gesto e a classificao dos riscos.

5.3. Gesto de Mudanas e Valor do Negcio

Para se dar incio a esta anlise importante dispor de ferramentasque apresentem o impacto dos sistemas de informao no negcio. Todamudana deve levar em considerao os riscos envolvidos. No se tratamapenas de riscos em relao ao sistema, mas tambm as pessoas e oandamento dos processos. De fato o ideal que as mudanas tenham porbase os riscos que cercam o sistema antigo e os ganhos do sistema novo.Lucro, maior produtividade, diferenciao competitiva, reduo de riscos emaior agilidade so fatores positivos em prol de mudanas.

Em momentos de mudana e como justificativa para novosinvestimentos, pode-se associar o risco performance da aplicao e seurespectivo retorno atravs da taxa de Sharpe, que a razo entre o valoresperado de retorno (a diferena entre o retorno atual e um retorno isento derisco), pelo desvio padro (LAUBSCH, 1999):

55

O risco em questo deve ser calculando considerando um perodo detempo.

Fatores como adequao do sistema ao nmero de funcionrios,facilidade de aprendizado, melhor suporte so fatores positivos que dizemrespeito aos recursos humanos. Tais fatores podem se somar a um processode melhoria nos procedimentos e de novos requisitos do negcio, fatores quepoderiam no alcanar a eficcia esperada se mantido o sistema antigo. Afigura a seguir ilustra a argumentao proposta e suas tendncias na relaorisco X valor (WESTERMAN & HUNTER, 2008):

Figura 5 Alto Valor, Alto Risco. Administrando o Portfolio LegadoFonte: Richard Hunter e Dave Aron, Gartner Executive Programs, setembro de 2006.

Um catlogo de servios um recurso til na gesto de mudanas ena identificao do valor agregado ao negcio. O ideal que as informaesfaam parte de uma base de dados que contenha os itens de configurao deTI de forma a poder relacion-los aos servios, ao que se chama de CMDB(Configuration Management Data Base). De posse dos recursos necessrios aum servio, possvel mensurar os custos de cada servio e posteriormente,com as mudanas, o rateio do investimento (KLOSTERBOER, 2008).

Baseado no valor donegcio

A migrao melhoraro desempenho do

negcio

Baseado em riscos detecnologia e RH

Existe a possibilidadede riscos catastrficos

Baseado em mudanasda estratgia do do

negcio

A tecnologia atualprecisa ser substituda

para dar suporte novaestratgia

valor risco

56

5.4. Estimando os Riscos

A estimativa de riscos est intimamente ligada ao que em Gesto deRiscos, de modo geral, denominado como apetite pelo risco7, que significao quanto de risco a alta direo est disposta a correr. As organizaes TheInstitute of Risk Management IRM, The Association of Insurance and RiskManagers AIRMIC e o ALARM, um frum nacional para Gesto de Riscos noSetor Pblico do Reino Unido, desenvolveram um padro de gesto de riscosbastante interessante que alinhado com a ISO/IEC Guide 73:2002. Nestedocumento o apetite pelo risco, para fins de segurana em sistemas deinformao, melhor situado como tolerncia ao risco, que obtidoavaliando-se:

a probabilidade de que o risco venha ocorrer a perda potencial ou o impacto financeiro do risco o valor do risco

Este valor obtido atravs da multiplicao do fator de probabilidade,ou quantificao do risco, pelo fator correspondente perda potencial ouimpacto financeiro (AIRMIC & IRM & ALARM, 2002).

Devemos identificar os stakeholders, isto , aqueles que so osresponsveis pelos investimentos em tecnologia da informao a fim depodermos saber as reas de interesse de sua participao. Em geral osstakeholder so acionistas da empresa e seus interesses esto em outro nvelde exigncia, devendo ser traduzidos pela identificao dos value drivers, queso os elementos potenciais de valor, cujas medidas de eficincia devem ir aoencontro das demandas dos stakehoders. Estes elementos devem ser

57

detalhados ao ponto de ser possvel o seu gerenciamento. O BalancedScorecard - BSC, mtodo desenvolvido por Robert S. Kaplan e Robert D.Norton, til na identificao dos value drivers ao combinar as medidas deperformance e seu alinhamento com os objetivos estabelecidos (SENFT &GALLEGOS, 2009).

Uma vez que temos o arcabouo necessrio para identificar asestratgias que criam valor. Identificaremos os aspectos chaves de riscodiretamente associados ao risco de fracasso na agregao de valor. Esteselementos de risco devero ser classificados por faixas (CAREY, 2005).

Definidos todos estes elementos, podemos examinar o exemplo declculo de tolerncia ao risco apresentado por Mark Carey, CEO daorganizao DelCreo.

Listemos os value drivers e os riscos chaves correspondentes:Value drivers Riscos

Aumento do rendimento dos investimentos Interrupo levando reduo nos lucrosReduo de custos Surgimento de custos no previstosPreveno de Perda de Ativos Desvalorizao de ativos

Escolhendo o risco de Surgimento de custos no previstos, podemosatribuir pesos para as faixas de valor de custos que no foram previstos:

1) 0 a 50K2) 51 a 250K3) 251K a 1M4) 1M+

Podemos, tambm, definir os pesos para os itens que indicaro aprobabilidade de que o risco ocorra:

1) baixa

7 Traduo literal de appetite for risk.

58

2) mdia3) alta4) j est ocorrendo

De acordo com o resultado da multiplicao dos dois fatores (cujo valormximo no exemplo ser 4 x 4 = 16), a tolerncia ao risco ser definida, bemcomo as aes a serem tomadas:

Entre 1 e 4 - Gerenciar o risco dentro da unidade de negcio oufuno.

Entre 5 e 8 - Risco deve ser escalonado para o programa de seguro efinanciamento de riscos.

Entre 9 e 11 - Risco deve ser escalonado tesouraria da corporao.Entre 12 e 16 - Risco deve ser escalonado gesto de crises ou

gesto executiva da corporao.

Neste exemplo, significa que, se as operaes de investimentoimplicarem no risco de surgimento de custos no previstos na ordem de 60Ke probabilidade disto ocorrer for alta, o valor calculado do apetite outolerncia ao risco ser de 2 x 3 = 6, i., entre 5 e 8, de forma que o risco deveir esfera do programa de seguro e financiamento de riscos, no podendo sertratado apenas dentro da unidade de negcio.

A classificao deve ser to detalhada quanto se julgar necessrio,podendo ser especfica para cada negcio. O peso dos riscos sernormalmente definido por valor monetrio, percentual de recursos, tempo limitede restaurao de servio, ou seja, o impacto no servio, bens ou nos lucros.

Geralmente os gerentes de TI e os gerentes operacionais so os maisindicados para mensurar a probabilidade de que um evento ocorra. Contudo,como foi visto na matriz RACI, sero os gestores de negcio que iro identificar

59

e se responsabilizar pelo peso que ir representar o impacto do risco sobre onegcio.

5.5. Relatrios Gerenciais

Os relatrios fazem parte da gesto de riscos. A existncia de umapoltica que determine a constante avaliao da segurana e dos riscos dainformao ir colaborar com informaes que daro suporte a novosinvestimentos ou a identificao de falhas no processo.

No ITIL temos um destaque nos relatrios de auditoria envolvendo:disponibilidade, incidentes, excees e capacidade de recursos. Variaes noconsumo de recursos, por exemplo, podem indicar a necessidade de estudodas mudanas que motivaram este comportamento e a necessidade ou no denovos investimentos (itSMF, 2004).

Alcanar um nvel maior de maturidade COBIT em gesto de riscostambm est associado a aspectos de automao dos relatrios. Os relatriosque mais se destacam so os de log ou incidentes de sistema (monitoramentoe resposta a incidentes) e os de mtricas de segurana e performance.Porm importa ressaltar que esto includos relatrios de testes de novasfuncionalidades. Os relatrios devem incluir os pontos chaves de controle talque sirva de base para a avaliao da conformidade com os requisitos dosistema e o ciclo de vida da informao (TURCATO, 2006).

Tal relatrio somente ser possvel se identificados os fatores querepresentam um risco para o negcio em questo.

Os relatrios devem conter comparaes entre perodos, destacando-se datas em que mudanas ou novas solues foram implementadas. Estas

60

mudanas no devem se restringir a mudanas de TI, mas devem incorporarmudanas nos processos e no negcio. O foco o alinhamento e a integraoentre o negcio e TI, em especial, neste caso, os aspectos de segurana eriscos. Os relatrios tambm devem ser claros e compreensivos (TURCATO,2006).

Os relatrios de mtricas podem ser classificados em operacionais eexecutivos, de acordo com o pblico-alvo. Os relatrios operacionais podemincluir informaes tais como (BACIK, 2008):

Nmero de violaes ou tentativas de violaes da poltica de riscos. Nmero de dispositivos fora dos padres de configurao da corporao. Nmero de contas sem uso ou boqueadas. Nmero de diferentes tipos de ataques contra a corporao de origem

externa.

Nmero de vrus, worms e Trojans que foram bloqueados

Relatrios executivos incluem informaes tais como as que seguem:

Montante de tempo de indisponibilidade dos servio e custos causados porfalhas de configuraes ou erros de implementao.

Dinheiro gasto acima ou abaixo do estimado pelos projetos de segurana. Lista de riscos suportados ou acordados.

Questionrios de conformidade tambm podem servir de subsdio aavaliao comparativos e histrica da evoluo do processo. Os relatrios equestionrios de avaliao daro o retorno do ciclo PDCA para o processocontnuo de melhoria.

61

CONCLUSO

Ignorar os riscos no os faz deixar de existir. A informao um ativoda organizao cuja segurana deve fazer parte de sua gesto. Cada vezmais as organizaes se tornam dependentes das informaes contidas emSistemas de Informao, mas acabam se esquecendo que equipamentostambm esto sujeitos falhas e deve haver um planejamento para acontinuidade do negcio.

O valor da informao, a competitividade da empresa, o alinhamentoestratgico iro atuar de forma integrada na justificativa ou no do investimentoem segurana da informao. Para este convencimento, em alguns casos,no basta saber o TCO, mas se faz necessrio identificar os proprietrios dainformao e os interessados nela, de forma a poder apresentar o seuimpacto nas diferentes reas da organizao.

A normatizao contribui para o envolvimento maior dosadministradores, de forma que segurana da informao no se trata mais deuma cadeira tcnica, mas tambm requer o conhecimento nos negcios e osreflexos jurdicos envolvidos.

A gesto de riscos em Sistemas de Informao tem a misso de fazercom que os riscos no venham superar aquele que a alta direo est dispostaa correr. Os riscos dependem do contexto e envolvem pessoas, processos etecnologia. As melhores prticas devem ser aplicadas a toda a organizao ea manuteno das polticas de segurana devem contar com o apoio da altadireo.

62

BIBLIOGRAFIA

AIRMIC; ALARM; IRM. A Risk Management Standard. London, UnitedKingdom: The Association of Insurance and Risk Managers; ALARM TheNational Forum for Risk Management in the Public Sector; Institute of RiskManagement, 2002

BACIK, SANDY. Building an Effective Information Security PolicyArchitecture. New York, USA: Auerbach Publications, 2008.

BEAL, Adriana. Segurana da Informao: Princpios e Melhores Prticaspara a Proteo dos Ativos da Informao nas Orgnizaes. So Paulo:Editora Atlas, 2008.

BON, JAN VAN. Fundamento do Gerenciamento de Servios em TIbaseado na ITIL. Amersfoort, Holanda: itSMF, Van Haren Publishing, 2006.

BRANDS, STEFAN A. Rethinking Public Key Infrastructures and DigitalCertificates. London, England: MIT Press, 2000.

BRASIL, ABNT. NBR ISO/IEC 17799. Rio de Janeiro: ABNT, 2005.

BRASIL, ABNT. NBR ISO/IEC 27001:2006. Rio de Janeiro: ABNT, 2006

BRASIL. Decreto n2.134 de 24 de janeiro de 1997. Braslia: Dirio Oficialda Unio, 1997.

63

BRASIL. Decreto n4.553 de 27 de dezembro de 2002. Braslia: DirioOficial da Unio de 06/01/2003.

BRASIL. Decreto n5.301 de 9 de dezembro de 2004. Braslia: Dirio Oficialda Unio de 10/12/2004.

BRASIL. Lei Federal n10.406 de 10 de janeiro de 2002- Institui o CdigoCivil. Braslia: Dirio Oficial da Unio, 11/01/2002.

BRASIL. Medida Provisria n2.200 de 24 de agosto de 2001 - Institui aInfra-Estrutura de Chaves Pblicas Brasileira ICP-Brasil. Braslia: DirioOficial da Unio de 27/08/2001.

BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Boas Prticas emSegurana da Informao. Braslia: Tribunal de Contas da Unio, 2007.

BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Licitaes e Contratos:Orientaes Bsicas. Braslia: Tribunal de Contas da Unio, 2006.

BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Manual de Auditoria deSistemas. Braslia: Tribunal de Contas da Unio, 1998.

BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Tcnica de Auditoria:Marco Lgico. Braslia: Tribunal de Contas da Unio, 2001.

BRASIL, TRIBUNAL DE CONTAS DA UNIO (TCU). Tcnica de Auditoria:Benchmarking. Braslia: Tribunal de Contas da Unio, 2000.

CAREY, MARK. 2005. Determining Risk Apetite. Artigo do stio ContinuityCentral Em: < http://www.continuitycentral.com/feature0170.htm >. Acessadoem abril de 2009.

64

CARTLIDGE, ALISON. The IT Infrastructure Library: An IntroductoryOverview of ITIL - Version 2. Wokingham, United Kingdom: IT ServiceManagement Forum, 2004.

CARTLIDGE, ALISON; LILLYCROP, MARK. The IT Infrastructure Library: AnIntroductory Overview of ITIL - Version 3. Wokingham, United Kingdom: ITService Management Forum, 2007.

CHEN, NONG. Personalized Information Retrieval and Access: Concepts,Methods and Practices. Pennsylvania, USA: Information Science Reference,2008.

ERBSCHLOE, MICHAEL. Information Warfare: How to Survive CyberAttacks. USA: McGraw-Hill, 2001.

ESTADOS UNIDOS DA AMRICA. Executive Order 12356 of April 2, 1982 National Security Information. Washingtn, DC, USA: The White House, 1982.

ESTADOS UNIDOS DA AMRICA. Executive Order 12958 of April 17, 1995 Classified National Security Information. Washingtn, DC, USA: The WhiteHouse, 1995.

FARNSWORTH, ROGER. CISCO Systems: Introduction to InformationSecurity. Apresentao de Palestra 302 da CISCO, 1998.

FRAHIM, JAZIB; HUANG, QIANG. SSL Remote Access VPNs. Indianapolis,USA: CISCO Press, 2008.

GLADNEY, HENRY M. Preserving Digital Information. Heidelberg: Springer,2007.

65

INGLATERRA, CENTRAL COMPUTER AND TELECOMMUNICATIONSAGENCY (CCTA). IT Infrastructure Library: Service Support. Her MajestysStationery Office, 2000.

ITGI. COBIT 4.0: Objetivos de Control, Directrices Gerenciales, Modelosde Madurez. Illinois, USA: IT Governance Institute, 2005.

ITGI. COBIT 4.1: Framework, Control Objectives, Management Guidelines,Maturity Models. Illinois, USA: Information Tecnology Governance Institute,2007.

ITGI; OFFICE OF GOVERNMENT COMMERCE. Aligning CobiT 4.1, ITIL V3and ISO/IEC 27002 for Business Benefit. Illinois,USA: IT GovernanceInstitute, 2008.

JAJODIA, SUSHIL. Insider Attack and Cyber Security: Beyond the Hacker.Virgnia, USA: Springer Science+Business Media, 2008

KARDEC, Alan; LAFRAIA, Joo. Gesto Estratgica e Confiabilidade. Rio deJaneiro: QualityMark: ABRAMAN, 2002.

KLOSTERBOER, LARRY. Implementing ITIL Configuration Management.Massachusetts, USA: IBM Press, 2008.

LAUBSCH, ALAN J. Risk Management: A Pratical Guide. USA: RiskMetricsGroup, 1999.

LAUREANO, MARCOS AURELIO PCHEK; MORAES, PAULO EDUARDOSOBREIRA. Segurana como Estratgia de Gesto da Informao. Artigode Revista Economia & Tecnologia, v. 8, fascculo 3, pp. 38-44. 2005.

66

MANDARINI, MARCOS. Segurana Corporativa Estratgica. Barueri-SP:Editora Monole, 2005.

NIZAMUTDINOV, MARSEL. Hacker Web Exploitation Uncovered.Pennsylvania, USA: A-LIST Publishing, 2005.

NUNES, MARCOS ALONSO. Custos no Servio Pblico. Braslia: ENAP,1998.

PRENEEL, BART; LOGACHEV, OLEG A. Boolean Functions in Cryptologyand Information Security. NATO Science for Peace and Security Sub-SeriesD: Information and Comunication Security - v.18. Amsterdam, Netherlands: IOSPress, 2008.

PRICEWATERHOUSECOOPERS. Enterprise Risk Management - IntegratedFramework: Executive Summary. Committee of Sponsoring Organizations ofthe Treadway Commission: COSO, 2004.

RANCE, STUART; HANNA, ASHLEY. ITIL 3: Glossary of Terms,Definitionsand Acronyms. OGC-Office of Government Commerce, 2007

RUD, OLIVIA PARR. Data Mining Cookbook: Modeling Data for Marketing,Risk, and Customer Relationship Management. New York, USA: WileyComputer Publishing, 2001.

SALTZER, J. H. 1975. The Protection of Information in Computer Systems.Em: .Acessado em fevereiro de 2009.

SMOLA, Marcos. Gesto da Segurana da Informao: Uma visoExecutiva. Rio de Janeiro: Ed. Campus, 2003.

67

SENFT, SANDRA; GALLEGOS,